北京
2025年上半年,全球僵尸網絡(Botnet)的控制服務器數量漲了26%。下半年又漲24%。這種增速把美國推上了"全球僵尸網絡第一大國"的位子——中國從2023年三季度開始坐這個位置,坐了兩年,被擠下來了。
Spamhaus的數據描繪了一幅不太樂觀的畫面:攻擊者正在瘋狂擴充軍火庫。而這一切的源頭,可以追溯到2016年那個改變網絡安全史的名字——Mirai。
這個惡意軟件家族像病毒一樣自我復制,只不過它復制的不是生物細胞,而是代碼分支。
Mirai最初的設計很"樸素":掃描互聯網上運行ARC處理器的物聯網設備,這些設備跑的是精簡版Linux。攻擊者要么利用已知漏洞,要么直接用出廠默認密碼登錄——大多數用戶從來沒改過。
2016年Mirai源代碼公開后,事情開始失控。這就像有人把AK-47的設計圖貼在了公共論壇上,現在任何有點編程基礎的人都能組裝一把。
Pulsedive的研究人員追蹤了當前最活躍的幾個Mirai變種,其中Aisuru和Kimwolf destructive程度最高。這兩個變種常被合稱為"Aisuru-Kimwolf",已經感染了全球100萬到400萬臺主機。
31.4Tbps:一次攻擊的流量相當于全網視頻通話
Cloudflare的記錄顯示,Aisuru-Kimwolf發起了有記錄以來規模最大的DDoS攻擊之一:31.4太比特每秒(Tbps)的流量洪水,以及每秒141億個數據包的沖擊。
做個粗糙的對比:Netflix全球峰值流量大約在1-2 Tbps量級。這意味著單次攻擊的瞬時流量,足夠支撐十幾個Netflix同時滿負荷運轉。
早期的Mirai變種已經夠麻煩了,但這些數字說明下一代僵尸網絡的危險程度上了不止一個臺階。攻擊者不是在升級工具,是在重構整個犯罪基礎設施的產能。
更麻煩的是商業模式的進化。Aisuru-Kimwolf的運營者把被感染的設備當成"資產"來經營,在Discord和Telegram上出租訪問權限。你的路由器、攝像頭、智能電視,可能正在某個地下頻道里按小時計價。
2026年3月19日:一場跨國圍剿與后續的貓鼠游戲
美國司法部在這一天宣布了對多個C2服務器的法院授權打擊行動,目標包括Aisuru、KimWolf、JackSkid和Mossad四個僵尸網絡。執法行動覆蓋加拿大和德國,算是近年來規模較大的國際協同。
但打擊效果存疑。這些網絡的設計本身就考慮了韌性——去中心化、快速切換、多備份。一個節點被拔,流量自動路由到另一個。這就像打地鼠,而且地鼠會自己挖新洞。
Kimwolf作為Aisuru的Android子變種,專門盯著移動設備和智能電視。全球約200萬臺Android設備已經中招,它把PC端的DDoS能力移植到了手機系統上。
感染流程很"標準":掃描開放端口,投遞安裝腳本,植入惡意載荷,然后靜默等待指令。用戶通常毫無感知,直到電費異常或網絡卡頓——或者更糟,IP地址出現在某次攻擊的溯源記錄里。
住宅代理:把你的家變成攻擊者的隱身斗篷
除了DDoS,這些僵尸網絡還在大規模濫用住宅代理網絡。攻擊流量被路由到普通家庭的IP地址,溯源難度直線上升。
對防御方來說,封禁一個數據中心IP很簡單,但封禁一個看起來像是某戶家庭寬帶的地址?誤傷風險極高。攻擊者賭的就是這個不對稱性。
這種手法的陰險之處在于它利用了互聯網的信任基礎。網站和服務商對"住宅IP"通常給予更高信任度,認為那是真實用戶而非機器流量。僵尸網絡運營者正在系統性透支這種信任。
2025年C2服務器數量的兩次跳漲,某種程度上反映了這種商業模式的"成功"。更多的控制節點意味著更強的調度能力,也意味著更分散的風險敞口。
美國取代中國成為C2服務器最大托管國,這個數字本身需要謹慎解讀。它可能反映執法重點的轉移,也可能只是基礎設施租賃市場的地理漂移。但無論如何,僵尸網絡的物理基礎設施正在變得更加全球化、更加難以單一司法管轄區處置。
Mirai的遺產在于它證明了"低成本、大規模"的網絡攻擊是可行的。九年過去,這個公式沒有被打破,反而被不斷優化。源代碼的開放性讓創新發生在無數并行分支上,任何一個有想法的攻擊者都可以 fork 一份,加上自己的"改進"。
Pulsedive的追蹤顯示,Aisuru-Kimwolf只是當前活躍的眾多變種之一。它們的共同點是都繼承了Mirai的核心架構,但各自針對特定設備類型或攻擊場景做了特化。有的專攻攝像頭,有的盯著路由器,有的像Kimwolf這樣瞄準Android生態。
這種分化讓防御變得復雜。通用補丁和簽名檢測的覆蓋面被稀釋,安全團隊需要同時追蹤數十個活躍分支的演進。
2026年3月的跨國打擊行動是一個信號,表明執法機構正在升級應對力度。但歷史經驗表明,技術基礎設施的拆除和法律追責之間存在明顯的時間差——前者可以很快,后者往往需要數年。
更現實的挑戰在于終端設備的更新周期。很多被感染的物聯網設備早已停止官方支持,廠商不會推送補丁,用戶也不知道需要更新。這些設備構成了僵尸網絡的"長期庫存",除非物理斷網,否則很難徹底清除。
Cloudflare記錄的31.4 Tbps攻擊峰值,可能不是終點。隨著更多設備接入互聯網——尤其是安全防護較弱的智能家居和工業傳感器——攻擊容量的理論上限還在繼續膨脹。
攻擊者和防御者之間的成本不對稱是結構性問題。發動一次大規模DDoS的門檻持續降低,而抵御它的成本卻在上升。這種失衡解釋了為什么九年后的今天,Mirai的變種仍然是最活躍的網絡威脅之一。
對于普通用戶,最直接的防護仍然是基礎操作:修改默認密碼、關閉不必要的遠程訪問、及時更新固件。這些建議被重復了無數次,但僵尸網絡的持續增長說明,執行率仍然不夠高。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
